創(chuàng)建新的觸發(fā)任務(wù)

Windows Server 2008系統(tǒng)事件日志功能記錄了服務(wù)器系統(tǒng)中發(fā)生的各種重要事情，比方說網(wǎng)絡(luò)訪問、系統(tǒng)登錄、程序運行、資源調(diào)用等，記錄的事件內(nèi)容主要包括事件描述、事件來源、事件類型等。仔細(xì)分析這些事件內(nèi)容，網(wǎng)絡(luò)管理員既能了解服務(wù)器系統(tǒng)的運行狀態(tài)，又能對暗藏在系統(tǒng)中的威脅進行及時處理，保證服務(wù)器系統(tǒng)的運行安全性。不過，網(wǎng)絡(luò)管理員必須每次主動查看事件日志，才能了解到服務(wù)器系統(tǒng)中發(fā)生了什么事情；如果服務(wù)器系統(tǒng)中發(fā)生了重要事情時，能否讓W(xué)indows Server 2008系統(tǒng)自動彈出提示提醒網(wǎng)絡(luò)管理員呢？答案是肯定的！我們可以利用Windows Server 2008系統(tǒng)的觸發(fā)器功能，來讓服務(wù)器自動地提醒網(wǎng)絡(luò)管理員發(fā)生了哪些重要事件，而不需要每次采用手工方式查看系統(tǒng)日志文件。

創(chuàng)建新的觸發(fā)任務(wù)

Windows Server 2008系統(tǒng)的觸發(fā)任務(wù)是基于特定事件創(chuàng)建的，我們首先需要讓系統(tǒng)能對某個故障現(xiàn)象進行記錄并生成一個事件，然后通過該系統(tǒng)新增加的附加任務(wù)功能，將指定的觸發(fā)任務(wù)附加到目標(biāo)事件中，日后一旦相同的事件發(fā)生時，指定的觸發(fā)任務(wù)就能自動運行，來通知網(wǎng)絡(luò)管理員當(dāng)前服務(wù)器系統(tǒng)中發(fā)生了哪些重要的事情。

在默認(rèn)狀態(tài)下，Windows Server 2008系統(tǒng)不會對某個故障現(xiàn)象進行自動記錄，我們必須對具體的故障現(xiàn)象進行審核，那樣一來Windows Server 2008系統(tǒng)的事件查看器才能對具體的故障現(xiàn)象進行跟蹤記錄。例如，要想讓W(xué)indows Server 2008系統(tǒng)的事件查看器自動記憶用戶賬號被惡意刪除事件時，我們就應(yīng)該依次單擊“開始/“設(shè)置/“控制面板命令，在彈出的系統(tǒng)控制面板窗口中雙擊“管理工具圖標(biāo)，再在管理工具列表中雙擊“本地安全策略選項，打開本地安全策略列表窗口；

在該列表窗口的左側(cè)顯示區(qū)域，依次展開“安全策略/“審核策略分支選項，在“審核策略分支下面雙擊“審核賬戶管理選項，打開如圖1所示的選項設(shè)置對話框，選中“本地安全設(shè)置標(biāo)簽，在對應(yīng)的標(biāo)簽頁面中選中“成功或“失敗選項，再單擊“確定按鈕，如此一來Windows Server 2008系統(tǒng)就會自動跟蹤并記錄添加或刪除用戶帳號事件了。

一旦對指定操作啟用了審核功能后，Windows Server 2008系統(tǒng)就會在對應(yīng)的日志文件中自動記錄下相關(guān)的操作事件，例如以后只有有用戶帳號被偷偷刪除操作發(fā)生時，Windows Server 2008系統(tǒng)的日志文件中就會自動出現(xiàn)相應(yīng)的記錄文件。在查看這個具體的記錄內(nèi)容時，我們可以先打開Windows Server 2008系統(tǒng)的“開始菜單，從中依次點選“設(shè)置、“控制面板、“系統(tǒng)和維護、“管理工具選項，在彈出的管理工具列表窗口中單擊“事件查看器圖標(biāo)，打開事件查看器控制臺窗口，在該窗口的左側(cè)顯示區(qū)域展開“Windows日志節(jié)點選項，我們從該選項下面會看到“系統(tǒng)、“安全、“應(yīng)用程序、“轉(zhuǎn)發(fā)事件、“安裝程序等不同類別的事件內(nèi)容，用鼠標(biāo)雙擊

某一類別下面的具體事件記錄，就能打開對應(yīng)事件記錄的詳細(xì)信息界面，在這里我們便可以了解到指定事件的來源、事件ID以及其他說明信息了。

不過，每次采用手工方法查看事件記錄內(nèi)容往往比較煩瑣，而且網(wǎng)絡(luò)管理員也很難在第一時間知道服務(wù)器系統(tǒng)中究竟發(fā)生了哪些重要的事件。為此，我們可以對某一特定的事件附加觸發(fā)任務(wù)，當(dāng)以后有相同的事件記錄再次生成時，Windows Server 2008系統(tǒng)的觸發(fā)器就能自動工作，來執(zhí)行指定的任務(wù)計劃，通過這個任務(wù)計劃我們可以把當(dāng)前發(fā)生的事件內(nèi)容自動通知給網(wǎng)絡(luò)管理員，網(wǎng)絡(luò)管理員得到通知信息后，就能及時采取措施來解決服務(wù)器系統(tǒng)中存在的安全隱患了。

在創(chuàng)建新的觸發(fā)任務(wù)時，我們先要從事件查看器窗口中找到具體的某一事件記錄，例如用戶帳號被刪除的事件記錄，然后用鼠標(biāo)右鍵單擊該記錄選項，從彈出的快捷菜單中單擊“將任務(wù)附加到此事件命令，打開觸發(fā)任務(wù)創(chuàng)建向?qū)υ捒颍勒障驅(qū)崾驹O(shè)置好新任務(wù)的名稱信息，之后選中一個合適的觸發(fā)方式，Windows Server 2008系統(tǒng)的觸發(fā)器為用戶提供了三種觸發(fā)方式，它們分別為顯示消息、發(fā)送電子郵件、啟動應(yīng)用程序，選擇好某種觸發(fā)方式后，再設(shè)置好具體的觸發(fā)內(nèi)容，最后單擊“完成按鈕結(jié)束新觸發(fā)任務(wù)的創(chuàng)建工作。

管理已有觸發(fā)任務(wù)

創(chuàng)建成功的各個觸發(fā)任務(wù)會自動出現(xiàn)在Windows Server 2008系統(tǒng)的任務(wù)計劃列表中，進入任務(wù)計劃列表窗口，我們就可以對已有觸發(fā)任務(wù)進行隨心所欲地管理、設(shè)置了。在管理已有觸發(fā)任務(wù)時，我們可以按照如下步驟進行操作：

首先以系統(tǒng)管理員權(quán)限登錄進入Windows Server 2008系統(tǒng)，依次單擊該系統(tǒng)桌面中的“開始/“程序/“附件/“系統(tǒng)工具/“任務(wù)計劃程序命令，打開對應(yīng)系統(tǒng)的任務(wù)計劃列表窗口；

其次在該列表窗口的左側(cè)顯示區(qū)域，用鼠標(biāo)逐一展開“任務(wù)計劃程序庫/“Microsoft/“事件查看器任務(wù)分支選項，在對應(yīng)“事件查看器任務(wù)分支選項的中間顯示區(qū)域，我們會看到Windows Server 2008系統(tǒng)中所有已經(jīng)創(chuàng)建成功的觸發(fā)任務(wù)。

在這里我們可以對每一個觸發(fā)任務(wù)的各種參數(shù)進行修改，例如要修改某個任務(wù)計劃的觸發(fā)方式時，我們只要用鼠標(biāo)右鍵單擊具體的觸發(fā)任務(wù)，從彈出的如圖2所示右鍵菜單中執(zhí)行“屬性命令，打開目標(biāo)觸發(fā)任務(wù)的屬性設(shè)置窗口。

在該設(shè)置窗口的“常規(guī)標(biāo)簽頁面中，我們可以指定目標(biāo)觸發(fā)任務(wù)的運行選項，例如是否在登錄系統(tǒng)時運行目標(biāo)觸發(fā)任務(wù)，還是不管用戶是否登錄都要運行等，對于一些特殊的觸發(fā)任務(wù)，我們有時需要在這里選中“使用最高權(quán)限運行選項，確保目標(biāo)觸發(fā)任務(wù)中既定的操作能夠順利地在Windows Server 2008系統(tǒng)中被成功執(zhí)行。

在“觸發(fā)器標(biāo)簽頁面中，我們可以通過單擊“新建按鈕，來重新創(chuàng)建一個新的觸發(fā)器任務(wù)，通過單擊“編輯按鈕來對當(dāng)前選定的觸發(fā)器進行一些高級設(shè)置，例如可以指定目標(biāo)觸發(fā)任務(wù)的延遲任務(wù)時間、重復(fù)任務(wù)間隔、過期日期等參數(shù)，通過單擊“刪除按鈕來將一些不需要的觸發(fā)任務(wù)從Windows Server 2008系統(tǒng)中刪除掉。

在“操作標(biāo)簽頁面中，我們可以查看到目標(biāo)觸發(fā)任務(wù)正在使用的觸發(fā)方式是什么，如果需要調(diào)整使用新的觸發(fā)方式時，可以先選中當(dāng)前正在使用的觸發(fā)方式，并單擊“刪除按鈕將目標(biāo)觸發(fā)方式刪除掉，之后單擊“新建按鈕來創(chuàng)建一個新的觸發(fā)方式。此外，我們還能單擊這里的“編輯按鈕，來修改當(dāng)前正在使用的觸發(fā)方式的一些觸發(fā)參數(shù)，例如修改觸發(fā)標(biāo)題、觸發(fā)內(nèi)容，選用不同的觸發(fā)程序等。

在“條件標(biāo)簽頁面中，我們可以指定用于與觸發(fā)器一起判斷是否應(yīng)運行該任務(wù)的條件，要是在這里設(shè)置的條件不是真，那么目標(biāo)觸發(fā)任務(wù)將不會被自動執(zhí)行。例如，我們可以設(shè)置在本地計算機處于空閑狀態(tài)多長時間后就能自動運行當(dāng)前觸發(fā)任務(wù)，也可以設(shè)置只有本地計算機在使用交流電源時才啟動運行當(dāng)前觸發(fā)任務(wù)，甚至還能設(shè)置在指定網(wǎng)絡(luò)連接有效時才能啟動運行目標(biāo)觸發(fā)任務(wù)（如圖3所示）。

在“設(shè)置標(biāo)簽頁面中，我們可以指定影響目標(biāo)觸發(fā)任務(wù)的一些其他設(shè)置參數(shù)。例如，我們可以設(shè)置在目標(biāo)任務(wù)觸發(fā)失敗后，過多長時間重新啟動運行目標(biāo)觸發(fā)任務(wù)；也可以指定目標(biāo)觸發(fā)任務(wù)運行時間超過多長時間時，自動停止運行任務(wù)

觸發(fā)器的實戰(zhàn)應(yīng)用

巧妙利用觸發(fā)器功能，我們可以對Windows Server 2008服務(wù)器系統(tǒng)的運行狀態(tài)進行即時監(jiān)控，一旦服務(wù)器系統(tǒng)發(fā)生意外事件時，觸發(fā)器能夠自動把發(fā)生的事件通知給服務(wù)器管理員，以便管理員在第一時間采取措施保護服務(wù)器運行狀態(tài)不受影響。

例如，我們可以對Windows Server 2008系統(tǒng)賬號的創(chuàng)建行為進行跟蹤，一旦有非法賬號創(chuàng)建時，網(wǎng)絡(luò)管理員能夠及時收到報警信息。要實現(xiàn)這樣的監(jiān)控目的，我們可以先打開Windows Server 2008系統(tǒng)的本地安全策略列表窗口，依次點選其中的“安全策略/“審核策略/“審核賬戶管理選項，并用鼠標(biāo)雙擊該選項，之后選中“成功或“失敗選項，再單擊“確定按鈕，這樣的話Windows Server 2008系統(tǒng)就能自動跟蹤并記錄添加或刪除用戶帳號事件了。

接著用鼠標(biāo)右鍵單擊“計算機圖標(biāo)，從彈出的快捷菜單中執(zhí)行“管理命令，打開對應(yīng)系統(tǒng)的計算機管理窗口，在該管理窗口的左側(cè)顯示區(qū)域依次選中“配置/“本地用戶和組/“用戶選項，并用鼠標(biāo)右鍵單擊該選項，再執(zhí)行右鍵菜單中的“新用戶命令，在其后彈出的用戶賬號創(chuàng)建對話框中，隨意創(chuàng)建一個新的用戶賬號，這時Windows Server 2008系統(tǒng)的事件查看器窗口中就會自動生成一個創(chuàng)建新用戶賬號的事件了。

下面，依次單擊Windows Server 2008系統(tǒng)“開始菜單中的“設(shè)置/“控制面板/“系統(tǒng)和維護/“管理工具選項，再雙擊“事件查看器圖標(biāo)，打開事件查看器控制臺窗口，在該窗口的左側(cè)顯示區(qū)域展開“Windows日志節(jié)點選項，然后從該選項下面的“系統(tǒng)分支下面找到剛剛創(chuàng)建好的創(chuàng)建新用戶賬號事件，再用鼠標(biāo)右鍵單擊該事件選項，從彈出的快捷菜單中點選“將任務(wù)附加到此事件命令，打開觸發(fā)任務(wù)創(chuàng)建向?qū)υ捒颍勒障驅(qū)崾驹O(shè)置好新任務(wù)的名稱為“監(jiān)控非法創(chuàng)建賬號，選中觸發(fā)方式為“顯示消息，將觸發(fā)內(nèi)容設(shè)置為“服務(wù)器系統(tǒng)中有賬號可能被非法創(chuàng)建，最后單擊“完成按鈕，如此一來“監(jiān)控非法創(chuàng)建賬號的觸發(fā)任務(wù)就算創(chuàng)建成功了。

日后，一旦服務(wù)器系統(tǒng)中有人偷偷創(chuàng)建用戶賬號時，服務(wù)器系統(tǒng)屏幕上將會自動出現(xiàn)如圖4所示的報警提示信息，看到這樣的提示信息，網(wǎng)絡(luò)管理員就知道有非法用戶在服務(wù)器系統(tǒng)中偷偷創(chuàng)建用戶賬號了，此時網(wǎng)絡(luò)管理員應(yīng)該及時將新創(chuàng)建的陌生賬號刪除掉，以防止陌生賬號給服務(wù)器的穩(wěn)定運行帶來安全威脅。